Bundesamt für Sicherheit in der Informationstechnik

SICHER • INFORMIERT vom 12.04.2018

Ausgabe: 08/2018

Schnell zum Abschnitt

Editorial

Liebe Leserin, lieber Leser,

unsere Welt wird immer vernetzter. Auf der diesjährigen Hannover Messe vom 23. bis 27. April werden viele Neuigkeiten rund um Industrie 4.0 präsentiert. Auch in unserem Privatleben halten intelligente Geräte immer mehr Einzug. Das beginnt mit dem Smart Home und geht bis hin zu am Körper getragenen Mini-Computern, den Wearables. Die smarten Technologien bringen zwar viele neue, spannende Funktionen, aber eben auch einige Risiken mit sich. Mit welchen Fragen sich das BSI unter anderem im Kontext der Industrie 4.0 auseinandersetzt und wie vernetzte Geräte dort, ebenso wie im intelligenten Zuhause, abgesichert werden können, erfahren Sie während der Messe in Halle 8 am Stand C13 des BSI in Halle 8.

Mehr zu aktuellen Gefahren im WWW, was Sie dagegen tun können und welche Updates Sie jetzt vornehmen sollten, lesen Sie der aktuellen Ausgabe unseres Newsletters.

Wir wünschen Ihnen eine spannende Lektüre!

Ihr Bürger-CERT-Team

Störenfriede

Backdoor: Apple Schadsoftware stiehlt Daten

Aktuell versenden Cyber-Kriminelle per E-Mail mit einem Schadcode infizierte Word-Dokumente. Aktiviert man die Makros im beigefügten Word-Dokument auf einem Mac-Rechner, wird über eine ausgenutzte Backdoor der Schadcode aktiv und greift Daten über das System ab, überträgt diese verschlüsselt an einen Befehlsserver und folgt dessen Anweisungen. Es werden allerdings nur Mac-Rechner infiziert, auf denen die Programmiersprache Perl installiert ist. ZDNet zufolge gibt sich der Absender der Datei als die vietnamesische Organisation HDMC aus. Der Schadcode ist in der Lage, die Macs langfristig zu kompromittieren, zu überwachen und Daten abzugreifen.

Da es keine Seltenheit ist, dass Betrüger über E-Mail-Anhänge versuchen, Schadsoftware auf Rechnern einzuschleusen, sollten Sie im Umgang mit E-Mails stets vorsichtig sein. Wenn Sie sich nicht sicher sind, ob es sich um eine seriöse Nachricht handelt, können Sie beispielsweise über das Internet den Absender recherchieren und nachhaken. Weitere Tipps zum Erkennen von unechten E-Mails.

Zum Beitrag von ZDNet: Trend Micro warnt vor Word-Dateien mit Mac-Backdoor

Hack: Malware in Online Shop-Plattformen geschleust

Betrügern ist es über einen Brute-Force-Angriff mit Standard-Passwörtern gelungen, sich unberechtigten Zugriff auf mehr als 1.000 Online Shops zu verschaffen, die auf der E-Commerce-Software Magento basieren. Bei dieser Methode werden einfache Passwörter automatisiert und systematisch ausprobiert, um Accounts zu hacken. Über die geknackten Administratorkonten der Online-Shops spielten sie Schadsoftware ein, mit der sie die Kreditkartendaten von Kundinnen und Kunden stehlen konnten, berichtet Heise Security. Zudem wurden Nutzerinnen und Nutzer auf Phishing-Webseiten umgeleitet.

Werden Sie aufmerksam, wenn Sie Benachrichtigungen über angebliche Bestellungen in Online-Shops erhalten oder fremde Buchungen auf Ihrer Kreditkartenabrechnung entdecken, und wenden sich an den jeweiligen Dienstleister. Außerdem ist es empfehlenswert, sichere Passwörter zu verwenden und diese regelmäßig zu verändern. Wie Sie ein sicheres Passwort erstellen? Unsere Tipps finden Sie unter der Rubrik "Passwörter".

Zum Artikel von Heise Security: Mindestens 1000 gehackte Shops mit Malware entdeckt

Social Media: Basisschutz im Umgang mit Facebook und Co.

Der aktuelle Facebook-Fall, bei dem weltweit Millionen Nutzerdaten über eine heruntergeladene App an eine Dritte gelangten und ausgewertet wurden, macht deutlich, dass Datensparsamkeit in Online-Profilen grundsätzlich ratsam ist. Einem Bericht von t3n zufolge sollen hierzulande etwa 310.000 Facebook-Profile betroffen sein. Um einem Missbrauch der eigenen Daten vorzubeugen, sollten Sie sich genau überlegen, welche Informationen Sie in sozialen Netzwerken teilen. In unseren zehn Tipps auf BSI für Bürger erfahren Sie, welche Risiken Facebook & Co. mit sich bringen und wie Sie soziale Netzwerke sicher nutzen können.

Zur Meldung von t3n: Die wichtigsten Antworten zum Facebook-Datenskandal

Sicherheitslücke: Wenn die Uhr zur "Wanze" wird

In der GPS-Tracking-Smartwatch Paladin des Herstellers Vidimensio klafften über einen längeren Zeitraum Sicherheitslücken, die jetzt geschlossen wurden, wie Heise Security schildert. Über diese war es möglich, die Uhrträger abzuhören und zu verfolgen. Mittels Webanfrage ohne Passworteingabe oder Anmeldung konnten Angreifer aus dem Internet unbemerkt eine beliebige Telefonnummer anrufen. Der Angerufene konnte dann hören, was in der Umgebung der Uhr geschieht. Wenn Sie eine Paladin-Smartwatch besitzen, sollten Sie umgehend das nun verfügbare Update installieren. Immer wieder treten bei smarten Geräten aufgrund von fehlenden Authentifizierungen Datenschutz-Lücken auf. Dadurch haben Cyber-Kriminelle unter anderem die Möglichkeit, die anfallenden Daten auszuwerten und beispielsweise Bewegungsprofile zu erstellen.

Deshalb sollten Sie nur Wearables verwenden, die eine entsprechende IT-Sicherheit gewährleisten. Dazu sind auch regelmäßige Updates unabdingbar. Wenn dies herstellerseitig nicht gegeben ist, sollten Sie auf die Nutzung des Gerätes verzichten. Häufig ist bei smarten Geräten zwischen Komfort und Nutzen sowie Aspekten der Sicherheit abzuwägen. Einige Hilfestellungen dazu geben die Tipps zur Sicherheit vernetzter Geräte.

Zum Bericht von Heise Security Nach c't-Recherchen: Tracking-Smartwatch jetzt ohne Abhörfunktion

CEO-Betrug: Akutes Risiko für Mitarbeiter und Unternehmen

Aktuell versuchen Betrüger wieder verstärkt, Mitarbeiterinnen und Mitarbeiter in zahlreichen Unternehmen durch gefälschte E-Mails dazu zu bringen, Geldbeträge vom Firmenkonto zu überweisen. Laut Heise Security geben sich die Kriminellen als Chef oder anderer Vorsetzer aus. An die notwendigen Informationen gelangen die Betrüger, indem sie per Social Engineering so viele Informationen wie möglich über ein Unternehmen und einzelne Mitarbeiter zusammentragen. Dadurch wirken die E-Mails oft täuschend echt.

Um nicht Opfer einer solchen Betrugsmasche zu werden, sollten Sie stets mit gesundem Menschenverstand agieren und außergewöhnliche Nachrichten und Aufträge hinterfragen. In Unternehmen sollten insbesondere Mitarbeiter mit Finanzverantwortung besonders achtsam sein. Unser Drei-Sekunden-E-Mail-Check weißt Sie auf kritische Punkte hin.

Zum Artikel auf Heise Security: CERT Bund warnt gegenwärtig vor der "Chef-Masche"

Virenschutz: Android-Trojaner stiehlt Messenger-Daten

Sicherheitsexperten haben eine Android-Malware aufgespürt, die Daten aus Messenger-Apps abgreift. Im Visier des Trojaners sind folgende Apps: Tencent WeChat, Weibo, Voxer Walkie Talkie Messenger, Telegram Messenger, Gruveo Magic Call, Twitter, Line, Coco, BeeTalk, TalkBox Voice Messenger, Viber, Momo, Facebook Messenger und Skype, wie chip.de berichtet. Nutzerinnen und Nutzer können sich davor schützen, indem sie Virenschutz-Programme verwenden. Diese sind auch für mobile Geräte verfügbar, insbesondere solche, die Android-basiert sind. Denn gerade das Betriebssystem Android ist immer wieder anfällig für Malware, auch in Deutschland.

Größtes Problem dabei ist die fehlende Aktualität der Betriebssysteme von Android-Smartphones. Um sich zu schützen, sollten Sie deshalb stets darauf achten, dass Ihr Android-Smartphone auf dem aktuellen Stand ist und Apps immer nur aus dem offiziellen Google Playstore herunterladen. Zudem sollten Sie dafür sorgen, dass ein Basisschutz vorhanden ist, beispielsweise in Form von einer Antiviren-Lösung. Erfahren Sie auf BSI für Bürger mehr zu Android Malware und wie Sie ihr vorbeugen können.

Zum Bericht auf chip.de: Android-Trojaner späht Messenger aus

Schutzmaßnahmen

Microsoft: Zahlreiche Programme erhalten Sicherheitsupdates

Microsoft hat Schwachstellen in den Browsern Edge und Internet Explorer sowie in den Office Produkten und dem Betriebssystem Windows geschlossen. Die Sicherheitslücken werden zum Teil als riskant eingestuft. Welche Programmversionen jeweils betroffen sind und weiterführende Informationen zur Art der Schwachstellen können Sie den einzelnen Sicherheitshinweisen des Bürger-CERT entnehmen. Wichtig ist, dass die Updates so bald wie möglich installiert werden.

Digital Editions: Schutz für den e-Reader verfügbar

Adobe hat ein Sicherheitsupdate für seinen e-Reader Adobe Digital Editions veröffentlicht. Wer das Programm bis einschließlich Version 4.5.7 und früher nutzt, sollte es möglichst zeitnah auf die gepatchte Version 4.5.8 aktualisieren, unabhängig davon, ob es auf einem Desktop-Rechner oder Mobilgerät eingesetzt wird. Das Sicherheitsupdate ist für Macintosh, Windows, iOS und Android verfügbar. Aufgrund einer Schwachstelle in den früheren Versionen kann nicht ausgeschlossen werden, dass Unberechtigte an gespeicherte Informationen des Programms gelangen. Im Bürger-CERT Sicherheitshinweis finden Sie alle nötigen Informationen zur Installation.

Malware Protection Engine: Schwachstelle im Herzstück von Microsofts Sicherheitsprodukten

Die Microsoft Malware Protection Engine weist eine Sicherheitslücke auf, die es einem Angreifer ermöglicht, beliebigen Programmcode mit Administratorrechten auszuführen. Das Programm ist Bestandteil verschiedener Microsoft-Sicherheitsprodukte und dient dazu, Viren und Spyware zu scannen und zu entfernen. Um sich zu schützen, sollten Sie umgehend die Sicherheitsupdates des Herstellers installieren. Weitere Informationen finden Sie im Warnhinweis des Bürger-CERT.

Apple: Sicherheitsupdates für mehrere Produkte verfügbar

Die Betriebssysteme Apple iOS und Mac OS X sowie das Multimedia-Verwaltungsprogramm iTunes weisen mehrere Schwachstellen auf. Damit ist es Cyber-Kriminellen unter anderem möglich das System zu blockieren oder Sicherheitsvorkehrungen auszutricksen. Wir empfehlen Ihnen die zeitnahe Installation der vom Hersteller zur Verfügung gestellten Sicherheitsupdates. Die jeweiligen Links zum Download sowie weiterführende Informationen zu den entsprechenden Schwachstellen stehen in den einzelnen Sicherheitshinweisen des Bürger-CERT:

Android: Sicherheitslücken gefährden Geräte

Die Google Android Versionen 6.0, 6.01, 7.0, 7.1.1, 7.1.2, 8.0 und 8.1 weisen mehrere Sicherheitslücken auf, die es ermöglichen, beliebigen Programmcode auf einem Gerät auszuführen. Zudem können aufgrund der Schwachstellen Daten ausgelesen, das Gerät sowie darauf installierte Apps zum Absturz gebracht werden. Um die Sicherheitslücken zu schließen, sollten Sie die Sicherheitsupdates des Herstellers zeitnah einspielen.

Prisma

Internet der Dinge: Smarte Geräte sicher vernetzen

Immer mehr Nutzerinnen und Nutzer setzen im Alltag auf smarte Geräte. Sie lassen sich mit anderen intelligenten Geräte im Internet der Dinge vernetzen und können unser Leben dadurch komfortabler machen. So sorgt intelligente vernetzte Haustechnik im Smart Home beispielsweise dafür, dass sich die Heizung zu einem vorgegebenen Zeitpunkt einschaltet oder sich die Rollläden automatisch schließen. Allerdings bringt das Internet der Dinge auch einige Risiken mit sich. Wie Nutzerinnen und Nutzer die Vorteile von IoT-Geräten sicher nutzen können, erfahren Sie auf BSI für Bürger.

Daten in der Cloud: Sensible Informationen frei zugänglich

Im Internet sind rund 1,5 Milliarden Dokumente mit sensiblen Informationen aufgrund von falsch konfigurierten Servern und Cloud-Diensten frei zugänglich. Dazu gehören Gehaltsabrechnungen, Steuerbescheide, aber auch medizinische Daten, wie auf ZDNet zu lesen ist. Demnach ist es jedem mit geringen technischen Kenntnissen möglich, auf die sensiblen Daten zuzugreifen. Neben Informationen von privaten Anwenderinnen und Anwendern lassen sich auch Patente einfach abgreifen.
"Die hohe Anzahl und Sensibilität der öffentlich zugänglichen Daten ist erschreckend. Der Bericht zeigt erneut, wie sorglos manche Dienstleister mit sensiblen Daten ihrer Kunden umgehen", betonte BSI-Präsident, Arne Schönbohm. "Unternehmen, die mit sensiblen Daten agieren, müssen ihrer Verantwortung zum Schutz dieser Daten endlich gerecht werden. Anbieter von Online-Dienstleistungen wie Cloud- oder Server-Dienstleistungen müssen es ihren Kunden durch entsprechende Vorkonfigurationen noch einfacher machen, die grundlegenden Sicherheitsprinzipien einzuhalten. Wir stehen erst am Anfang der Digitalisierung und müssen begreifen, dass Informationssicherheit die Voraussetzung für ihr Gelingen ist."

Allen Anwenderinnen und Anwendern wird empfohlen, die IT-Sicherheit bei der Nutzung von Cloud-Diensten auch selbst im Blick zu behalten.

Zur Meldung auf ZDNet: Falsch konfigurierte Server und Cloud-Dienste geben 1,5 Milliarden vertrauliche Daten preis